Перейти к содержанию
Правила раздела

компьютер сам выключается

Максим Павельев

Автор Максим Павельев
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

Удалите Zaxar, Pbot через установку программ в панели управления


HiJackThis (из каталога автологгера) профиксить

O4 - HKCU\..\Run: [PBot] "C:\Users\MainUser\AppData\Roaming\PBot\python\pythonw.exe" "C:\Users\MainUser\AppData\Roaming\PBot\launchall.py"
O4 - HKCU\..\Run: [Zaxar] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
O4 - HKCU\..\Run: [ccamyuyxhq] explorer "http://imatiro.ru/?utm_source=uoua03&utm_content=2ab9a970874b6c3a100ddbe365669ec3&utm_term=36BEC3B5CD46CA95743BB5A67CD401B6&utm_d=20160417"
O4-32 - HKLM\..\Run: [Kinoroom Browser] "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" --auto-run-reg
O22 - ScheduledTask: (Ready) A7D005AF7-7E19-4ED7-A237-8D30C34C4E20 - \Microsoft\Windows - "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\644647A5-68AF-48C2-B7F0-92A4A6B0CC12.exe" --getupdate-ppapi-plugin
O22 - ScheduledTask: (Ready) InternetBF - {root} - "C:\Users\MainUser\AppData\Local\Amigo\Application\amigo.exe" http://journalslives.ru/peoplesm (file missing)
O22 - ScheduledTask: (Ready) InternetSF - {root} - "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://thisgo.su/cgosm (file missing)
O22 - ScheduledTask: (Ready) KRBLNKRUN - \Microsoft\KRBUUS - "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" (file missing)
O22 - ScheduledTask: (Ready) Soft installer - {root} - "C:\Users\MainUser\AppData\Local\Hostinstaller\3738792118_installcube.exe" subid=792;src=installcube;scheduler=1

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxargamebrowser.exe');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxarloader.exe');
 TerminateProcessByName('C:\Users\MainUser\AppData\Roaming\svchost.exe');
 QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\644647A5-68AF-48C2-B7F0-92A4A6B0CC12.exe','');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
 QuarantineFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('c:\program files (x86)\zaxar\zaxarloader.exe','');
 QuarantineFile('C:\Users\MainUser\AppData\Local\Hostinstaller\3738792118_installcube.exe','');
 QuarantineFile('C:\Users\MainUser\AppData\Roaming\PBot\launchall.py','');
 QuarantineFile('C:\Users\MainUser\AppData\Roaming\svchost.exe','');
 QuarantineFile('C:\Windows\TEMP\clearcache.dll','');
 DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\644647A5-68AF-48C2-B7F0-92A4A6B0CC12.exe','32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxarloader.exe','32');
 DeleteFile('C:\Users\MainUser\AppData\Local\Hostinstaller\3738792118_installcube.exe','32');
 DeleteFile('C:\Users\MainUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser.lnk','32');
 DeleteFile('C:\Users\MainUser\AppData\Roaming\PBot\launchall.py','32');
 DeleteFile('C:\Users\MainUser\AppData\Roaming\svchost.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "InternetBF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "InternetSF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A7D005AF7-7E19-4ED7-A237-8D30C34C4E20" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true, ' ');
 DeleteDirectory('c:\program files (x86)\zaxar');
 DeleteFileMask('C:\Program Files (x86)\Kinoroom Browser', '*', true, ' ');
 DeleteDirectory('C:\Program Files (x86)\Kinoroom Browser');
 DeleteFileMask('C:\Users\MainUser\AppData\Local\Hostinstaller', '*', true, ' ');
 DeleteDirectory('C:\Users\MainUser\AppData\Local\Hostinstaller');
 DeleteFileMask('C:\Users\MainUser\AppData\Roaming\PBot', '*', true, ' ');
 DeleteDirectory('C:\Users\MainUser\AppData\Roaming\PBot');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ccamyuyxhq');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Подготовьте лог AdwCleaner и приложите его в теме.
 
Ссылка на комментарий
Поделиться на другие сайты
Максим Павельев

Максим Павельев

Опубликовано
  • Автор
Опубликовано

KLAN-5672677429

Thank you for sending a file for analysis to the Anti-Virus Lab.

Kaspersky Anti-Virus has scanned files.

Riskware application which may harm your computer was detected in files:
644647A5-68AF-48C2-B7F0-92A4A6B0CC12.exe - not-a-virus:Downloader.NSIS.Agent.afp
3738792118_installcube.exe - not-a-virus:HEUR:Downloader.Win32.AdLoad.gen
svchost.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.tb

No malware detected in files:
launchall.py

We will thoroughly analyze files. If the result of the analysis is different from this scan result, you will be notified via email within 5 days.

This is an automatically generated message. Please, do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

AdwCleaner_S0.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ

SQ

Опубликовано
Опубликовано

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Алеся Сорокина
      Поймали на компьютере шифровальщик
      Автор Алеся Сорокина
      Операционная система была переустановлена. Письмо и примеры файлов приложили. Пароль на архив virus
      virus.zip
    • Kavunchik
      Вирус выключает все брендмауэры и не дает доступа к настрйокам сети, значок сети также отсутствует
      Автор Kavunchik
      логи дрвеб.rar При попытке зайти в настройки сети меня просто выкидывает, значок сети отсутствует вовсе, хотя интернет есть и работает. Скан системы не показывает упущенных файлов. Восстановление компьютера к исходному не дает из за невозможности найти среду для восстановления. Чувствую что компьютер начал работать слабее, также есть впечатление, что проблемы могут быть и с сетью. Названия которые выдавал Др.Веб Trojan.Siggen 31.46344, но даже после нескольких удалений он находил его повторно там же. Также HOSTS:MALWARE.URL.
       
    • Technician6
      Не переносятся компьютеры в группу.
      Автор Technician6
      Имеем корп сервер KSC14 - компьютеры видны, но в управляемых, когда переносишь их в нужную группу, они просто не переносятся и вываливается ошибка как на скрине.

       
      ни через веб интерфейс ни через консоль не переносится. Вопрос, как исправить?
    • Владимир Д.
      Защифровали компьютер. [Rdpdik6@gmail.com].lockedfile
      Автор Владимир Д.
      В выходные подобрали пароль от входа через удаленный рабочий стол и зашифровали компьютер. Также третьими лицами были внесены изменения в систему, при загрузке появляется сообщение (см. Изображение WhatsApp 2025-08-11.jpg), а вход под другой учетной записи не возможен, ошибка - Службе "Служба профилей пользователей" не удалось войти в систему. Невозможно загрузить профиль пользователя.
      Сканирование Farbar Recovery Scan Tool производилось из среды восстановления Windows.
       

      FRST.rar
    • Viacheslau T
      [РЕШЕНО] Наличие вируса/автозагрузка майнера на компьютере.
      Автор Viacheslau T
      Здравствуйте.

      На днях знакомый прислал книгу которую я искал, но как оказалось, он ее скачал с сайта-клона flibusta.su который наполнен вирусами и майнерами.
      Файл был открыт, но касперский вовремя его снес. Однако, видимо проблема прошла глубже.
      При старте пк получаю уведомления от касперского(см 1 изобр.), что "Остановлен переход на сайт", но самого перехода от моего лица не происходит.
      Перед созданием темы прогнал Dr.Web CureIt! и KVRM(2 и 3 изображ.). Первая утилита ничего не нашла, вторая выдала список ошибок обработки файлов, но возможно это связанно с тем, что эти приложения были активны.
      Пока-что не собирал логи, т.к. не до конца понимаю, если я остановлю касперкий, скрипт подтянет майнер с вирусного сайта или нет?
      Описание события:
      ```
      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: flibusta.su
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00

      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: http://flibusta.su/favicon.ico
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: favicon.ico
      Путь к объекту: http://flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00
      ```
      Пожалуйста, сориентируйте порядок действий и проверок, которые нужно провести с минимальными рисками, т.к. не хотелось бы потерять систему.



×
×
  • Создать...